¿En qué medida distribuyen malware los motores de búsqueda como Google?

Los motores de búsqueda -entre los que se encuentran Google, Bing, Yahoo o Yandex como los más populares- gestionan el acceso global a 1 billón de sitios web aproximadamente, procesando entre 4 y 6 billones de búsquedas a diario pero, ¿cuántos de estos resultados esconden malware o redirecciones ocultas tras ellos?

Comenzando en 2013, AV-Test ha estado recopilando información que sea capaz de demostrar hasta qué punto distribuyen malware los motores de búsqueda populares. Durante 2015 y 2016 han estado observando unos 80 millones de resultados cada año, destapando una inquietante tendencia.

Ya en 2013 los principales buscadores estaban implementando sus propios mecanismos de filtrado, para detectar y bloquear resultados perniciosos para el usuario. Aunque lo cierto es que el éxito hasta el momento ha sido insuficiente. La comparativa entre los datos de Agosto de 2015 y 2016 demuestra que su número ha aumentado.

La seguridad en buscadores, puesta a prueba

El laboratorio fué capaz de analizar la friolera de 80 millones de resultados de buscadores en 2015, a lo que ha unido otros 80 millones de resultados este año 2016. Esto permite obtener una visión bastante certera del panorama actual.

El tráfico se ha originado en proporciones aproximadamente iguales a la cuota de mercado de los propios buscadores (Google, Yahoo, Bing, Yandex y Faroo). Además se han examinado más de 500 millones de tweets entre 2015 y 2016, en busca de enlaces maliciosos.

Cada buscador tiene sus propios mecanismos de filtrado

Los diferentes motores de búsqueda tienen diferentes mecanismos para protegernos de los resultados perjudiciales. Normalmente, el primer paso es realizar un pre-filtrado y listar los enlaces considerados infectados.

Google afirma ofrecer una mejor protección que la competencia gracias a sus Safe Browsing Tools:

La Navegación segura escanea millones de sitios web para identificar aquellos que instalan software malicioso sin que el usuario lo sepa. Detectamos estos sitios y los categorizamos según los miles de números de sistemas autónomos que existen en Internet.

Estas herramientas funcionan de forma predefinida en el panel de búsqueda o pueden ser descargadas mediante Firefox y Chrome si estamos utilizando un motor de búsqueda diferente a Google. ¿Es efectivo este filtrado que proponen los motores de búsqueda? Lo veremos a continuación, aunque podemos decir que parcialmente lo es.

Elementos examinados

Los expertos de AV-Test han llevado a cabo diferentes niveles de prueba:

1. Ejecución de una búsqueda y comprobación con el motor antivirus múltiple VTEST, desarrollado por ellos mismos.
2. Ejecución de búsquda mediante las Google Safe Browsing Tools. Podemos decir que es el tipo de búsqueda predeterminado para una gran mayoría de usuarios.

¿Cuánto malware distribuyen los motores de búsqueda?

Llega el momento de la verdad, de saber a qué peligros nos estamos enfrentando mientras navegamos tranquilamente a través de Google, Bing, etc. Veamos la comparación realizada entre 2013, 2015 y 2016.

Resultados de AV-Test

• 2013, 40 millones desitios web comprobados: 5060 sitios web infectados
• 2015, 80 millones de sitios web comprobados: 18,280 sitios web infectados
• 2016 (hasta Agosto), 81 millones de sitios web comprobados: 29,632 páginas infectadas

No hace falta ser Aristóteles para ver como el crecimiento del malware presentado en búsquedas aumenta rápidamente.

El desarrollo de algunos países en los últimos años, la cantidad, variedad y escaso precio del hosting online y, sobre todo, el retorno de inversión que llega de estas actividades explican este aumento tan importante.

Resultados de Navegación Segura de Google

Los sistemas de Google son capaces de filtrar buena parte de los resultados infectados antes o después pero, como veremos ahora, se queda bastante lejos de reconocer el 100%.

• 2015, 80 millones de resultados analizados: 9,725 alertas
• 2016 (hasta Agosto), 81 millones de resultados analizados: 19,794 alertas

NOTA: tal como avisa AV-Test, estos resultados no coinciden con los presentados por la herramienta VTEST. Esto ocurre porque VTEST ha marcado solo aquellas resultados en buscadores que llevaron a descarga directa de malware y aquellas que directamente atacaban el equipo del usuario. Esto incluye sitios de Phishing que intentan capturar datos.

Para ser más precisos, decidieron realizar un test que una ambos resultados. Todas las páginas con malware encontradas por AV-Test fueron después visitadas con Navegación Segura de Google. Los resultados:

• 2015: 18,280 resultados infectados con malware, 555 alertas de Google
• 2016: 29,632 resultados infectados con malware, 1,337alertas de Google

¿Qué malware acecha desde los resultados de búsqueda?

En más de un 60% de ocasiones, lo que se intenta es una descarga directa de archivo a nuestro equipo (algo que normalmente el navegador es incapaz de impedir si no reconoce la amenaza). En el restante 40% de casos, los ataques implican vulnerabilidades en otras tecnologías como Flash, Java, fragmentos de código, redirecciones, etc.

5 descargas de malware más comunes

• EXE: archivos ejecutables comunes
• ZIP: archivos comprimidos
• RAR: archivos comprimidos
• SWF: archivos multimedia de Flash
• MSI: instaladores de Windows

Malware en redes sociales

En los tweets analizados se ha observado una proporción de enlaces infectados muy similar a la de los motores de búsqueda.

• 2015: 315 millones de Tweets analizados con 23 millones de enlaces. De ellos, 1100 infectados.
• 2016: 200 millones de Tweets analizados, con 25 millones de enlaces. De ellos, 1500 analizados.

Enlace al estudio